Jednym z celów RODO, była standaryzacja i optymalizacja dla adresatów regulacji. Takie same przepisy ochrony danych osobowych w całym EOG, w miejsce mozaiki ustaw.
Rozporządzenie stworzyło idealną przestrzeń do tego, żeby wdrażać RODO w taki sam sposób w całej grupie kapitałowej. Przynajmniej w teorii. Praktyka okazała się być zupełnie inna.
Dlaczego duże Grupy kapitałowe nie radzą sobie z optymalizacją zarządzania RODO? O tym i ogromnych korzyściach wdrożenia grupowego, dowiesz się z części pierwszej.
W części drugiej skupimy się na rekomendacji konkretnych rozwiązań i narzędzi, które pozwolą na skuteczne wdrożenie w Grupie. Pamiętaj, że jeśli chcesz opierać się na narzędziach czy rekomendacjach zawartych w części drugiej, poznaj najpierw kontekst ich stosowania. Zacznij od fundamentów, czyli od części pierwszej.
Zobacz podsumowanie w mniej, niż 3 minuty
Kontekst prawny i biznesowy
Oficjalna treść Rozporządzenia pojawiła się w dzienniku Urzędowym UE 4 maja 2016 roku. Przepisy zaczęły być stosowane 25 maja 2018 roku.
Szczególnie duży biznes, z rozbudowanymi działami compliance, miał zatem czas na przemyślenie wdrożenia.
Większość organizacji dążyła do wdrożenia możliwie najmniejszym kosztem, najlepiej tak samo w całych grupach kapitałowych. Takiemu podejściu, dodatkowo sprzyjała treść RODO.
Co na to RODO?
Już na początku, Rozporządzenie harmonizuje termin Grupa Przedsiębiorstw:
Na użytek artykuł posługuję się zamiennie terminami Grupa Kapitałowa i Grupa Przedsiębiorstw. Oba te terminy rozumiem w sensie RODOwskim, nie z perspektywy KSH czy innych przepisów.
Ten przepis można potraktować jak swojego rodzaju zaproszenie.
Twórcy RODO wprost sygnalizują chęć standaryzacji, wskazując grupy przedsiębiorstw. To bardzo pragmatyczne podejście. Wdrożenie RODO to duży koszt dla biznesu. Chodzi o wyciągnięcie ręki do przedsiębiorców i rekomendowanie im różnych form wdrożeń grupowych.
Twórcy RODO namawiają grupy przedsiębiorstw do wspólnej pracy nad wdrożeniem. Namawiają nie w wywiadach czy wytycznych (tam oczywiście też!) ale nawet samej treści RODO (!).
W latach 2016-18, kiedy proces wdrażania RODO startował, nasi klienci, funkcjonujący w ramach GK, najczęściej nie mieli decyzyjności w obszarze kierunku czy koncepcji wdrożeń grupowych. To my i nasi klienci, byliśmy odbiorcami wytycznych czy pomysłów, kreowanych przez zagraniczne centrale.
Jak to wygląda w praktyce?
Tylko niewielka część tych pomysłów sprawdziła się. W momencie pisania tego tekstu, czyli Q2 2026, GK skutecznie zarządzająca RODO, to wciąż ewenement.
Dlaczego tak uważam? Bazuję na doświadczeniu klientów obsługiwanych przez Lex Artist, którzy podlegali różnym formom centralnych wdrożeń. O bolączkach wspólnego zarządzania RODO słyszę często w toku szkoleń, które prowadzimy lub od innych IODów.
Przed napisaniem artykułu skonsultowałem się także z częścią Firm ZFODO, które obsługują łącznie kilkuset klientów. Opinie zarządów innych firmy doradczych, były bardzo podobne do mojej.
Zastanówmy się najpierw nad przyczynami tego stanu rzeczy.
Dlaczego skuteczne wdrożenie RODO w GK udało się tylko nielicznym?
Dlaczego centralne wdrożenia RODO w grupach kapitałowych się nie udawały
Żeby ustalić przyczyny, warto wrócić na chwilę do entuzjazmu centralnych wdrożeń lat 2016-18. Wdrażąjacym wydawało się wtedy, że wystarczy raz wykonać kluczowe działania, napisać procedury, a potem metodą ctr+c, ctrl+v wkleić je do wszystkich spółek GK. Takie założenie wydawało się być trafne.
Dawało szansę drastycznego obniżenia kosztów budowania zgodności. Jednak nie wszystko zadziałało zgodnie z oczekiwaniami.
Dlaczego? Powodów było bardzo wiele. Poniżej wskażę, te które zidentyfikowałem w toku swoich doświadczeń zawodowych.
Najczęstsze błędy zarządzania RODO w grupie przedsiębiorstw
Różne interpretacje RODO
RODO wygląda tak samo, ale podejście organów nadzorczych w różnych państwach EOG czasem bardzo różni się od siebie. Weźmy pod uwagę choćby kwestię konfliktu interesów i tego czy IOD może prowadzić RCP.
Ten temat bardzo poruszył całą branżę, a zainteresowanych odsyłam do opinii prawnej przygotowanej na zlecenie ZFODO przez prof. G. Sibigę (link: https://www.zfodo.org.pl/opinie/opinia-prof-grzegorza-sibigi-dotyczaca-niezaleznosci-iod-i-konfliktu-interesu-opracowana-na-zlecenie-zfodo-oraz-sabi/)
Załóżmy, że mamy grupę kapitałową działającą na terenie 10 państw EOG. Chcemy, żeby każda spółka powołała swojego IODa, którego jednym z kluczowych zadań będzie prowadzenie RCP. I już na starcie, nasz fundament całego centralnego wdrożenia, zostaje zakwestionowany.
W części państw organ nadzorczy akceptuje prowadzenie RCP przez IODa, w innych nie.
Mamy wyjątki, lokalne odrębności, osobne procedury, dyskusje, kolejne opinie prawne etc. A podobnych odrębności jest znacznie więcej. Niestety, EROD na poziomie harmonizacji działalności Organów Nadzorczych nie działa jeszcze zbyt aktywnie.
Różne procesy biznesowe, różne RCPy
Odmienne interpretacje Organów Nadzorczych to nie wszystko. W teorii wianuszek 10 spółek córek, działa podobnie, świadcząc tą samą usługę. Rejestry Czynności Przetwarzania powinny być więc możliwe do skopiowania i zastosowania w każdej ze spółek.
Ale nie są, bo najczęściej dokładnie takie same procesy i procedury na terenie 10 różnych państw to wciąż utopia. Różne lokalne lex specialis, generują różnice w procesach biznesowych. Te różnice z kolei przekładają się na inny kształt Rejestrów, a potem spory i nieporozumienia przy wdrażaniu.
Jako przykład niech posłużą przepisy naszego Kodeksu Pracy, nakazujące pisemne nadawanie upoważnień do przetwarzania danych osobowych. W większości innych państw EOG, nie ma takich wymogów.
Jeśli ktoś więc centralnie planował, że upoważnienie do przetwarzania DO będzie np. integralną częścią umowy o współpracę, to plan w Polsce się nie powiedzie. Będziemy musieli w PL tłumaczyć centrali, centrala będzie niezadowolona, bo myślała, że RODO działa tak samo. Będą powstawać kolejne opinie prawne i w gruncie rzeczy bezproduktywne dyskusje, zrażające do centralnych wdrożeń.
Webinar: RODO w grupie kapitałowej bez chaosu i nieporozumień
Brak konsekwencji
Wyobraź sobie teraz taką sytuację. Szefujesz działowi compliance. Chcesz uzyskać synergię z wdrożenia RODO w całej GK. Na początku cała Twoja energia jest poświęcona na budowanie optymalnych procedur. Interpretujesz przepisy, szukasz rozwiązań. Wydaje się, że wszystko jest już gotowe. Jednak pierwsze spotkania ze spółkami córkami generują coraz większą frustrację.
Spółka A z kraju B, mówi, że ich organ nadzorczy negatywnie odnosi się do kilku Twoich założeń. Wspólnie pracujecie nad rozwiązaniami, budujecie kolejne odstępstwa i wersje procedur. Kiedy w końcu udaje się Wam wypracować rozsądny kompromis, linie orzecznicze Organów nadzorczych zmieniają się. Do tego część spółek już zdążyła wdrożyć procedury, nie czekając na Twój idealny draft. Spółki córki doszły do wniosku, że to one jako ADO ponoszą odpowiedzialność. Wolą więc zrobić procedury po swojemu, dostosowując je do lokalnego Organu Nadzorczego, we współpracy z lokalnymi dostawcami.
W tym momencie, zrezygnowany odpuszczasz, będąc już prawie na mecie (przynajmniej pierwszego z etapów). Zwłaszcza, że rusza maraton compliance. Sygnaliści, DORA, NIS2 etc.
Wiele central czy działów compliance w pewnym momencie uznało, że nie ma czasu i budżetu na dalsze poszukiwania modelu wdrożenia RODO z poziomu centrali. Kolejne porażki zniechęciły entuzjastów, będących często już prawie u celu.
Brak zrozumienia, że zgodność z RODO to proces
Część centralnie zarządzanych wdrożeń udało się doprowadzić do końca. Jednak twórcy błędnie potraktowali RODO jako projekt. Wdrożono PODO, RCP i zestawy procedur. I tak sobie one funkcjonują, bez żadnych zmian i udoskonaleń od 2018 roku. Centrala przestała cokolwiek sprawdzać i weryfikować, uznając temat za zamknięty. Tymczasem najwięcej pracy pojawia się właśnie, kiedy procedury są już wdrożone. Trzeba ich pilnować, ulepszać te niepraktyczne, uczyć ludzi i zespoły ich stosowania. Reagować na zmiany otoczenia prawnego.
Budowa RODO-Bizancjum
Wiele zagranicznych organizacji budowało np. RCP po raz pierwszy. W Polsce mieliśmy w tym zakresie dużo doświadczeń, dzięki Rejestrowi Zbiorów Danych.
Dla przypomnienia – w roku 2015 weszła w życie polskie przepisy nakazujące administratorom danych prowadzenie tzw. jawnego rejestru zbiorów danych, przodka RCP.
W praktyce różnica między pojęciem zbiór danych, a proces, wcale nie była tak ostra i nie generowała całkowitej zmiany optyki. Wiele polskich organizacji mapowało zatem zbiory danych już wcześniej. Takie organizacje były świadome tego, że zbyt duża granulacja w ilości zbiorów, prowadzi do chaosu i utraty kontroli.
Niektórzy zagraniczni (i nie tylko), wdrożeniowcy, generowali ogromnie skomplikowane, liczące setki czy nawet tysiące procesów RCPy. W podobny sposób podchodzono również do innych elementów zgodności z RODO. Podejście, im więcej tym lepiej i bezpieczniej, nie sprawdza się w RODO. Zniechęca odbiorców, pożera ogromne ilości czasu wszystkich zaangażowanych organizacji.
Nieskuteczne i niesprawdzone narzędzia
Do wdrożeń RODO używano często mało skutecznych systemów informatycznych. Systemy powstawały jak grzyby po deszczu, tworzone często w kooperacji małych kancelarii z software housami. Albo wielkich firm doradczych, szyjących systemy kompatybilne jedynie z największymi korporacjami. Takie przeładowane wiedzą i danymi systemy działały bardzo podobnie jak punkt poprzedni, czyli bizantyjski przepych w procedurach.
Przepych kosztuje czas, nie tylko operatorów RODO czy samych systemów, ale również zespołów operacyjnych, które potem muszą stosować RODO procedury w praktyce. Rozwój naszego autorskiego systemu SODO szedł w kontrze do wielu przekombinowanych zbyt skomplikowanych narzędzi. Kolejne funkcjonalności wprowadzaliśmy często obserwując błędne założenia twórców konkurencyjnych systemów.
Ogarnij zgodność z RODO na poziomie całej grupy
Brak doświadczonych ekspertów
Kolejny bardzo ważny element to ludzie zajmujący się wdrożeniami RODO z poziomu central. Ekspertów od wdrażania RODO w latach 2016-18, przecież nie było. Rozsądnie było bazować na doświadczeniach przy wdrażaniu lokalnych ustaw, transponujących Dyrektywę 95/46/WE.
Tylko, że ekspertów od tej Dyrektywy i np. naszego polskiego UODO, było jak na lekarstwo. Ci którzy byli i posiadali renomę, mieli ręce pełne roboty. Reszta uczyła się na żywym organizmie. Wdrażający wzięli na siebie wyjątkowo trudne, dwuetapowe zadanie. Musieli wdrożyć RODO we własnej organizacji (spółce matce), a poza tym jeszcze zarządzić wdrożeniem w całej Grupie Kapitałowej. Dla osób z niewielkim doświadczeniem, to było zadanie bardzo trudne do wykonania.
Efekt psychologiczny kar 4% i deadline
Konkretny deadline (25 maja 2018), był z jednej strony błogosławieństwem. Motywował zarządy do podejmowania decyzji. Wyznaczano kamienie milowe, rezerwowano budżety i działano.
Z drugiej strony pośpiech bywał również demotywujący. Zwłaszcza dla organizacji, które zaczęły wdrożenia za pięć dwunasta. Na początku 2018 roku, nie było już dostępu do doświadczonych ekspertów. Wszyscy już dawno mieli zajęte grafiki co najmniej do 25 maja 2018 roku. Osoby bez doświadczenia, były bardziej podatne na presję biznesu. Stres generował pośpiech, często prowadził do tworzenia przepychu i Bizancjum w procedurach (zróbmy więcej na wszelki wypadek). Lub odwrotnie, projektowano wszystko na szybko, bez przemyślenia, nie znając dobrze podstaw i fundamentów.
Projektowanie każdej procedury, aby ją uprocesowić by default
Problem z RODO jest taki, że część procedur jest uruchamiana niemal codziennie (np. szkolenia i nadawanie upoważnień w dużej spółce). Inne mogą być stosowane raz na rok albo i rzadziej. Jeszcze inne praktycznie nigdy: np. prawo do przenoszenia danych. Pełen wykaz rekomendowanych przez nas do wdrożenia procedur, znajdziesz tutaj: https://blog-daneosobowe.pl/wzory-i-szablony-dokumentacji-ochrony-danych-osobowych-polityka-bezpieczenstwa/
Wiele organizacji precyzyjnie ułożyło procedurę, przeszkoliło z jej stosowania zespół, czasem zakupiło dedykowane narzędzia. Na koniec dnia procedura nigdy nie została użyta. Taki nieproporcjonalnie duży wysiłek często budził frustracje zespołu czy zarządów organizacji. Zniechęcał skutecznie do kolejnych działań. Skoro procedura Y na której wdrożenie i przygotowanie poświęciliśmy tyle czasu, jest kompletnie bezużyteczna, to może z innymi jest podobnie?
Osoby bez doświadczenia wdrażające RODO, nie były w stanie trafnie prognozować użyteczności poszczególnych procedur. Procedurę przenoszenia danych w firmie produkcyjnej zdarzało się traktować z taką samą uwagą, jak procedurę zgłaszania naruszeń.
Efekt nowości
To co nowe zawsze budzi dodatkowe obawy. Zwiększa poziom stresu, składania do podejmowania błędnych decyzji. RODO było pierwszą regulacją UE o tak dużym zakresie horyzontalnym. Dotyczyło każdej branży, każdego sektora gospodarki. Także sektora publicznego. Bo przecież każda organizacja przetwarza jakieś dane osobowe. Poprzednie duże regulacje dotyczyły konkretnych branż – np. REAH – poświęcone chemikaliom czy AML dla sektora finansowego.
O RODO mówili wszyscy i wszyscy starali się na nie przygotować. Przygotowaniom towarzyszył ogromny szum medialny, masa wprowadzających w błąd komunikatów osób, które dopiero zaczynały swoją przygodę z ochroną danych osobowych. Nawet doświadczenie eksperci od ochrony danych osobowych, czasem gubili się w gąszczu różnych interpretacji czy clickbajowych komunikatów.
A najgorsze w tym wszystkim było to, że mało w latach 2016-2018 był świadom chociaż kilku z w.w. przeszkód.
To się po prostu nie miało prawa udać!
Dlaczego dziś centralne zarządzanie RODO ma sens
Czasy się zmieniły. Interpretacje RODO powoli krzepną. Na szczęście większość regulatorów nie idzie w stronę nad szczegółowych interpretacji. Obawy pseudoekspertów nie spełniły się. Na 2026 EROD zapowiada pierwszą naprawdę istotną harmonizację, która ma dotyczyć konfliktu interesów w pracy IOD.
Organizacje na własną rękę wdrażając RODO (przynajmniej te które zrobiły to solidnie), mają świadomość cykliczności i tego, że wdrożenie RODO to proces. Na rynku mamy coraz więcej osób specjalizujących się w obszarze ochrony danych osobowych. Coraz więcej studiów i kursów kierunkowych. Coraz lepsze zrozumienie różnic między domeną RODO i Cyber. Mamy wreszcie coraz lepsze i coraz bardziej uniwersalne narzędzia, wspierające wdrożenie RODO.
Jeden system do zarządzania RODO w całej grupie
Tu i teraz to dobry moment, żeby wrócić do koncepcji centralnego spojrzenia na RODO w GK.
Korzyści centralnego zarządzania RODO w grupie kapitałowej
Było o trudnościach i wyzwaniach. Teraz czas na korzyści. A tych jest naprawdę dużo.
Cięcie kosztów zgodności z RODO
Mówimy tutaj, o spadku wydatków na zgodność z RODO o co najmniej rząd wielkości. Pierwszy rodzaj kosztów, które ponosimy w związku z RODO, to koszty bezpośrednie.
W szczególności:
- RBH (pensja) osoby lub osób zajmujących się RODO compliance/IODa/zespołu IOD.
- Wyposażenie osoby lub osób zajmujących się RODO w dostęp do wiedzy, szkoleń, rekrutacja, postępowania przetargowe etc.
- Systemy informatyczne wspomagające zapewnienie zgodności z RODO,
Niezależnie czy korzystasz z outsourcingu, czy budujesz wewnętrzny zespół, ten rodzaje kosztów jest najbardziej oczywisty i najprostszy do zmierzenia.
W przypadku obsługi całej GK zyskujesz możliwość kontraktowania jednej usługi (czy systemu) dla wielu spółek. A takie działanie w myśl zasady, więcej – taniej, musi przełożyć się na wycenę usługi.
Koszty ,,ukryte”
Mamy jeszcze jeden rodzaj kosztów funkcjonowania zgodności z RODO. To koszty pośrednie, które mogą być wielokrotnie wyższe niż koszty bezpośrednie. Chaos i bałagan przy wdrożeniu RODO po swojemu w całej Grupie, generuje po prostu nieustannie kolejne koszty. Tym razem chodzi o obciążenie osób na co dzień niezaangażowanych w zapewnianie zgodności z RODO. Ich czas też kosztuje, czasem znacznie więcej niż czas pracy specjalistów od RODO.
Przyjrzyjmy się takiej sytuacji: w spółce córce, zapewniającej shared services doszło do naruszenia DO. Administrator danych próbuje oszacować ryzyko naruszenia, ale z uwagi na zupełnie niekompatybilne matryce oceny ryzyka, trudno stronom zgodzić się co do poziomu ryzyka. Ustalony poziom ryzyka, będzie rzutował docelowo na to czy naruszenie zostanie zgłoszone do UODO. HR Partnerzy, IT management wysokiego szczebla zostaje włączony w sprawę.
Odbywa się wiele spotkań, w cały proces wchodzi korporacyjna „polityka”.
Przed końcowym podjęciem decyzji, przepalono setki godzin pracy wysoko zaszeregowanych osób.
Każda nieoptymalna, słabo przemyślana, nieupdejtowana procedura, generuje dodatkowe rbh – całego zespołu.
Postawię w tym miejscu tezę, że koszty pośrednie nieoptymalnego wdrożenia RODO na własną rękę dla każdej spółki, są znacznie wyższe niż koszty bezpośrednie funkcjonowania całego systemu.
Synergia i spójność
Słowa bardzo lubiane w dużych Grupach Kapitałowych. No bo przecież dobrze opracowana ścieżka szkoleniowa RODO, nie musi być wynajdywana od podstaw przez 10 spółek z osobna.
Wystarczy nagrać podstawowe szkolenie raz, a potem udostępnić pozostałym spółkom. Jeśli z uwagi na szczególną specyfikę części spółek, chcemy szkolenie zmodyfikować – i tak będzie prościej, bo dużo łatwiej udoskonalić nieoptymalny skrypt szkoleniowy, niż tworzyć go od podstaw.
To samo tyczy się kluczowych RODO procedur. Raportowanie naruszeń, czy privacy by default, nie musi być odkrywane i udoskonalane przez każdą organizację Grupy z osobna. W układzie centralnie zarządzanym, korzystamy nie z mądrości i pamięci jednej organizacji, tylko z mądrości i pamięci kilku lub kilkunastu organizacji. To robi dużą różnicę!
Biznes z reguły dąży do jak największej spójności w obrębie całej Grupy. Chodzi o stworzenie podobnego środowiska pracy, opartego o te same wartości. Środowiska, które umożliwia łatwe i szybkie rekrutacje wewnętrzne. Środowiska, które jest w podobnych sposób odbierane przez swoich klientów. Podobne zarządzanie obszarem RODO, podobne procedury w tym zakresie to jest jeden z wielu obszarów spójności, które ostatecznie mają wpływ na wizerunek i sprawne działanie całej grupy.
Łatwiejsza wymiana danych w obrębie grupy
Praktycznie wszystkie grupy kapitałowe, wymieniają się informacjami. W tym danymi osobowymi. Powstają serwisy współdzielone, niektóre usługi są świadczone wzajemnie, prowadzone są rekrutacje wewnętrzne.
Bez centralnego spojrzenia na zgodność z RODO, ta wymiana danych bywa pozbawiona podstaw prawnych. Umowy powierzenia bywają negocjowane latami (mimo, że dane już płyną). Zdarzało mi się być świadkiem sytuacji, że nikt z poziomu centrali nie potrafił znaleźć rzekomo podpisanej grupowo umowy powierzenia.
A jeśli do tego dołączymy grupy działające również poza EOG, to ryzyka prawne i chaos tylko się zwiększą. Bez jednej, centralnie powołanej komórki, wymiana danych osobowych w obrębie GK, bywa bardzo czasochłonna i ryzykowna. Mimo, że to nie jest rocket science na poziomie prawnym. Większym problemem niż przepisy, są z reguły trudne relacje czy brak odpowiednio umocowanej struktury, odpowiedzialnej za zgodność z RODO.
Odporność na rotacje kadrową
Ogromnym problemem wielu organizacji, jest uzależnianie zgodności z RODO od know-how i zaangażowania jednej osoby. Zatrudniliśmy dobrego specjalistę z zakresu compliance, który buduje procedury, realizuje zgłoszenia naruszeń etc. Niestety, razem z jego odejściem, cała wiedza ginie. Nikt nie potrafi zastosować procedur, a nowo zatrudniony specjalista, uznaje, że woli wdrożyć wszystko od podstaw, na własnym drafcie. Proces budowania zgodności, zaczyna się od początku. Doświadczenia organizacji, przepadają, razem ze specjalistą.
Teraz wyobraź sobie, że odchodzi właśnie 3 specjalistów od RODO w 3 spółkach córkach z Twojej grupy. Ale ponieważ na poziomie Centrali masz wypracowane standardy, rekrutacja przebiega szybko. Następcy od razu zyskują dostęp do podobnych szkoleń jak ich poprzednicy. Otrzymują repozytorium procedur, z wyjaśnieniem, dlaczego mają taki, a nie inny kształt. Wszystko przebiega sprawnie, a proces uczenia się organizacji, może trwać dalej.
Warunek dla takiego scenariusza jest jeden. Zarządzanie zgodnością z RODO z poziomu centrali i z góry przygotowanie się na obsługę takich scenariuszy. Włącznie ze scenariuszem zmiany osób odpowiedzialnych za zgodność z RODO z poziomu centrali.
Prosta i realna kontrola zarządcza
Załóżmy, że spółka A sprawuje kontrolę zarządczą nad spółkami 1-10. Każda z tych spółek wdrożyła RODO według wytycznych i standardów spółki A. Łatwo jest porównywać poziomy wdrożenia. Jeśli na przykład każdy RCP prowadzony jest według podobnego draftu, z użyciem jednego narzędzia, nie porównujemy jabłek do gruszek.
Łatwo rozróżnić braki systemowe od błędów zarządczych popełnianych przez poszczególne spółki. Zarząd spółki A zyskuje szybką i transparentną informację zwrotną o tym czy i jaka część spółek Grupy realizuje w praktyce wytyczne.
Zapraszamy na webinar o RODO w grupie kapitałowej
Podsumowanie
Dzisiaj są już dostępne skuteczne modele zarządzania RODO w dużych Grupach Kapitałowych. Istnieją narzędzia, dzięki którym można uzyskać efekt synergii. Warto wrócić do koncepcji z lat 2017-2018, wyciągnąć wnioski z błędów i działać!
Tym razem skutecznie.
Autor artykułu: Przemysław Zegarek, Prezes Zarządu Lex Artist sp. z o.o. i Związku Firm Ochrony Danych Osobowych
Źródła:
- RODO – tekst jednolity
- Doświadczenia własne, szczególnie intensywna praca z klientami w latach 2016-2018 nad wdrażeniem RODO, według zaleceń i w porozumieniu z centralą
- Konsultacje w ramach Związku Firm Ochrony Danych Osobowych (ZFODO)
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.